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Microsoft Windows ユー ザ ア カ ウ ント 制御 (UAC) 


本 書 の 目的 は 、Qualys ユー ザ が 、UAC テク ノロ ジ の 基本 を 理解 し 、UAC の 使用 が Microsoft Windows オペ レー 
ティ ング シス テム を 実行 する コン ピュ ー タ の Qualys スキ ャ ン に どの よう な 影響 を 与え る か を 理解 で きる よう に する こと 
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1. 概要 


1.1 UAC が Qualys スキ ャ ン に 与え る 影響 


リモ ー ト レジ スト リ へ の アク セス 
ー デフ ォ ル ト で は 、 ロ ー カ ル セ キ ュ リ ティ ポリ シー に より 、 リ モー トレ ジス トリ サー ビス は 無効 に な っ て いま す 。 
ー レジ スト リ に アク セス する に は 、 Qualys Dissolvable Agent (DA) を イン スト ー ル する 必要 が あり ます 。 
= デフ ォ ル ト で は 、 ド メイ ン ユ ー ザ (ロー カル Administrators グル ー プ の メン バー) と ビル トイ ン Administrator 
ュ ユーザ の み が Qualys DA を 使用 で きま す 。 
—- ロー カル ユー ザ が (Administrator グレ ー プ の メン バー) は 、 Qualys DA を 使用 で き な い た め 、 レ ジス トリ に ア 
TEATE TAA 
ファ イル シス テム へ の アク セス 
ー ドメイン ユー ザ ( ロ ー カ ル Administrators グル ー プ の メン バー) と ビル トイ ン Administrator の み が リ モー ト 
か ら C$ 共有 に アク セス で きま す 。 


ー ロー カル ユー ザ (Administrator グル ー プ の ユー ザ ) i, C$ 共有 に アク セス で きま せん 。 Qualys スキ ャ ン に 
より 、 シス テム お よび アプ リケーション ファ イル の バー ジョ ン 情 報 が 読み 取ら れる の を 防ぐ た めで す 。 


1.2 UAC に よる Qualys スキ ャ ン 結 果 の 変更 の 確認 方 法 


ー 通常 の スキ ャ ン お よび コン プラ イア ンス スキ ャ ン で は 、 部 分 的 な 結果 が 返さ れ ま す 。 
= ロー カル ユー ザ (Administrator グル レー プ の ユー ザ ) の 権限 が 不 十 分 な 場合 、DA の イン スト ー ル が 失敗 し 
まず 6 


1.3 UAC 設定 の 調整 を し な い 場 合 の スキ ャ ン へ の 影響 


— ロー カル ユー ザ (Administrator グル ー プ の ユー ザ ) は 、 デ フォ ルト で ADMIN$ 共有 へ の アク セス が 無効 
に な っ て いる た め 、 Qualys DA を イン スト ー ル で きま せん 。 


2. 基本 原理 


ユー ザ ア デカ ウ ント 制御 (UAC) は 、 最初 に Windows Vista に 導入 され た テク ノロ ジ で 、 現在 Microsoft Windows オ 
ベレ ー テ ィング シス テム の すべ て の 最新 バー ジョ ン で サポ ー ト され て いま す 。 


UAC テク ノロ ジ の 詳細 に つい て は 、 以 下 の 記 事 (Microsoft TechNet Magazine 発行 、 Sysinternals 共同 設立 者 
Mark Rossinovich 著 ) を 参照 し て くだ さい 。 


Windows Vista ユー ザ ア カ ウ ント 制御 の 内 部 : 


http://technet.microsoft.com/en-us/magazine/2007.06.uac.aspx 


Windows 7 7 ユー ザ ア カ ウ ント 制御 の 内 部 : 
http://technet.microsoft.com/ja-jp/magazine/2009.07.uac.aspx 
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3. UAC の 設計 


UAC 設計 者 の 主 な 目的 は 、 Microsoft Windows の セキ ュ リ ティ 向上 で し た 。 これ は 、 管 理 者 以外 の ユー ザ に よる 
オペ レー ティ ング シス テム の 使用 を 標準 に する こと で 達成 され まし た 。 すなわち 、 ビ ルト イン Administrator で ある か 、 
Administrators グレ ルー プ の 他 の メン バー で ある か 、 他 の グル ー プ で ある か に 関係 な く 、 常に 標準 ユー ザ と し て 
Windows を 使用 する と いう こと で す 。 また 、 昇格 し た 権限 が 要求 され る 管理 タス ク は 、 ユー ザ が 必要 と し た 場合 また 
は 特に 要求 し た 場合 に の み 実 行 で きる よう に な っ て いま す 。 管理 者 権限 を 昇格 させ る UAC モー ド は ! 管 理 者 承認 
モー ド 」 と 呼ば れ ま す 。 


この 仕組 み を 説明 する た め に 、 以 下 に 例 を 挙げ ます 。 


例 1- Alice は Users グレ ループ の メン バー で 、 レジ スト リエ ディ タ て egedit.exe) アプ リケーション を 実行 し て 、 シス テム 
レジ スト リ に 変更 を 加え た いと 思っ て いま す 。 Alice は 、HKEY CURRENT USER ハイ ブ の 変更 は で きま す が 、 
HKEY LOCAL MACHINE の 変更 は 拒否 され ます 。 この 場合 、Alice は レジ スト リエ ディ タ を 管理 者 と し て 実行 す 
る こと で き 、UAC は 、Alice の この 権限 を 完全 に 拒否 する か 、 Administrators グレ ルー プ の メン バー の 承認 を 求め る 
ダイ アロ グ ボ ックス を Alice に 表示 する こと で 、 こ の プロ セス を 制御 し ます 。 


例 2 - Bob は Administrators グル ー プ の メン バー で 、 レジ スト リエ ディ タ て egedit.exe) アプ リケーション を 実行 し て 、 
シス テム レジ スト リ に 変更 を 加え た いと 思っ て いま す 。 この 場合 、UAC は 、 そ の まま プロ グラ ム の 実行 を 許可 する か 、 
虹 格 し た 権限 で プロ グラ ム を 実行 する た め の 承 認 を 求め る ダイ アロ グ ボ ックス を Bob に 表示 する こと で 、 こ の プロ セ 
ス を 制御 し ます 。 


4.UAC ポリ シー - デフ ォ ル ト の 設定 


ロー カル セキ ュ リ ティ ポリ シー は 、 上 記 の 動作 を 制御 する 多数 の UAC 設定 を 定義 し ます 。 例え ば 、UAC ポリ シー 
は 、 閉 名 され て いな い Windows プロ グラ ム の 起動 を 禁止 する よう に 設定 する こと が で きま す 。 

UAC 設定 は 、 ロ ー カ ル セ キ ュ リ ティ ポリ シー で 定義 され 、 FLL T“ User Account Control "が 使用 され ます 。 
ロー カル セキ ュ リ ティ ポリ シー エディ イタ は 、「Administrative Tools] | Local Security Policy」 を 選択 し て 、 直接 起動 
で きま す 。 また 、Microsoft 管理 ミン ツー ル (mme exe) リ アフ リケーション を 実行 し 、 ロ ー カ ル ヨ ンピュータ に ロー カル 
ボ ポリ バー エディ グズ また は グル ー プ ポリ ンー オプ シン シェ クト エディ クダ の スナ ッ プ イン を 追加 し て 、 上 起動 する こと も で きま す 。 


次 の 項 で は 、 ロ ー カ ルル セキュ リティ ポリ シー 内 の UAC ポリ シー の 場所 と UAC の デフ ォ ル ト 値 を 示し ます 。 


Windows Vista 


E" Security Settings biy] User Account Control: Admin Approval Mode for the Built-in Administrator account Disabled 
p m Account Policies tii) User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode Prompt for consent 
aló Local Policies b| User Account Control: Behavior of the elevation prompt for standard users Prompt for credentials 
» EA Audit Policy | User Account Control: Detect application installations and prompt for elevation Enabled 


t Ca User Rights Assignment 


| si| User Account Control: Only elevate executables that are signed and validated Disabled 
La Security Options lle User Account Control: Only elevate UlAccess applications that are installed in secure locations Enabled 
bi| User Account Control: Run all administrators in Admin Approval Mode Enabled 

si| User Account Control: Switch to the secure desktop when prompting for elevation Enabled 

sl User Account Control: Virtualize file and registry write failures to per-user locations Enabled 
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Windows 7 


E" Security Settings :::j User Account Control: Admin Approval Mode for the Built-in Administrator account Disabled 
b DÄ Account Policies | User Account Control: Allow UlAccess applications to prompt for elevation without using the secure desktop Disabled 
4 |. Local Policies as] User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode Prompt for consent for non- Windows binaries 

» EA Audit Policy js User Account Control: Behavior of the elevation prompt for standard users Prompt for credentials 

P m User Rights Assignment [4 User Account Control: Detect application installations and prompt for elevation Enabled 

» Cà Security Options | js User Account Control: Only elevate executables that are signed and validated Disabled 

| User Account Control: Only elevate UlAccess applications that are installed in secure locations Enabled 

tio] User Account Control: Run all administrators in Admin Approval Mode Enabled 

js User Account Control: Switch to the secure desktop when prompting for elevation Enabled 

oie User Account Control: Virtualize file and registry write failures to per-user locations Enabled 


Windows 2008, Windows 2008 R2 


| Local Computer Policy 
E f» Computer Configuration 
C] Software Settings 
日 7| windows Settings 
Name Resolution Policy 


User Account Control: Admin Approval Mode For the Built-in Administrator account 
ci) User Account Control: Allow UIAccess applications to prompt For elevation without using the secure desktop 
til User Account Control: Behavior of the elevation prompt For administrators in Admin Approval Mode 


E Scripts (Startup/Shutdown) sj User Account Control: Behavior of the elevation prompt For standard users 
| 5h Security Settings i] User Account Control: Detect application installations and prompt For elevation 
CA Account Policies cio] User Account Control: Only elevate executables that are signed and validated 
E Cå Local Policies ls User Account Control: Only elevate UIAccess applications that are installed in secure locations 
UA Audit Policy 2| User Account Control: Run all administrators in Admin Approval Mode 
Un User Rights Assignment i| User Account Control: Switch to the secure desktop when prompting For elevation 


a ig 


Security Options i; User Account Control: Virtualize File and registry write Failures to per-user locations 


Windows 2012. Windows 2016 


a Local Computer Policy 
4 i» Computer Configuration 
b C Software Settings 
a | Windows Settings 
b Name Resolution Policy 
£j Scripts (Startup/Shutdown) 
4 A Security Settings 


iij User Account Control: Admin Approval Mode for the Built-in Administrator account 

2i] User Account Control: Allow Lll&ccess applications to prompt for elevation without using the secure desktop 
5j User Account Control: Behavior of the elevation prompt for administrators in Admin &pproval Mode 

5 User Account Control: Behavior of the elevation prompt for standard users 

5j User Account Control: Detect application installations and prompt for elevation 


p DÄ Account Policies 5j User Account Control: Only elevate executables that are signed and validated 
4 TÄ Local Policies us User Account Control: Only elevate UlAccess applications that are installed in secure locations 
b a Audit Policy ij User Account Control: Run all administrators in Admin Approval Mode 


b CA User Rights Assignment a User Account Control: Switch to the secure desktop when prompting for elevation 
b EA Security Options ti) User Account Control: Virtualize file and registry write failures to per-user locations 


Windows 8, Windows 8.1 


ı Ef Local Computer Policy 
4 j& Computer Configuration 
b C] Software Settings 
4 | Windows Settings 
b D Name Resolution Policy 
£j Scripts (Startup/Shutdown) 
> gan Deployed Printers 


E) User Account Control: Admin Approval Mode for the Built-in Administrator account 
ij User Account Control: Allow UlAccess applications to prompt for elevation without using the secure desktop 


4 放 Security Settings Li] User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode 
b US Account Policies js User Account Control: Behavior of the elevation prompt for standard users 
4 m Local Policies sj User Account Control: Detect application installations and prompt for elevation 
» EA Audit Policy ::j User Account Control: Only elevate executables that are signed and validated 
b C User Rights Assignment li) User Account Control: Only elevate UlAccess applications that are installed in secure locations 


b| a Security Options | User Account Control: Run all administrators in Admin Approval Mode 


5. 管理 者 承認 モー ド 


Disabled 

Disabled 

Prompt For consent For non-Windows binaries 
Prompt For credentials 

Enabled 

Disabled 

Enabled 

Enabled 

Enabled 

Enabled 


Disabled 

Disabled 

Prompt for consent for non-Mindows binaries 
Prompt for credentials 

Enabled 

Disabled 

Enabled 

Enabled 

Enabled 

Enabled 


Disabled 

Disabled 

Prompt for consent for non-Windows binaries 
Prompt for credentials 

Enabled 

Disabled 

Enabled 

Enabled 


管理 者 承認 モー ド に は 、 通常 の デス クト ッ プ また は セキ ュ ア デス クト ッ プ 上 で 切り 替え る こと が で き 、 特定 の UAC ポ 
リ シ ー 設 定 に よっ て この プロ セス が 制御 され ます 。 通常 の デス クト ッ プ の 場合 、 管理 者 権限 の 昇格 を 承認 する た め 
の ダイ アロ グ ボ ックス が デス クト ッ プ に 表示 され 、 他 の アプ リケーション の 使用 が 禁止 され る こと は あり ませ ん 。 セキ ュ 
アデ スク トッ プ の 場合 は 、 管理 者 権限 の 昇格 を 承認 する た め の ダ イア ログ ボッ クス を 表示 する 専用 の デス クト ッ プ が 
新た に 作成 され 、 承認 が 許可 また は 拒否 され る まで 、 他 の アプ リケーション の 使用 は 禁止 され ます 。 
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6. ロー カル ボリ シー の UAC の 設定 


UAC ポリ シー に は 、UAC を サポ ー ト する すべ て の Windows バー ジョ ン に 共通 する 2 つの 設定 が あり ます 。 その 
他 の UAC の 設定 は 、 Windows シス テム の Qualys 認証 スキ ャ ン に は 影響 し ませ ん 。 


6.1 ユー ザ ア カ ウ ント 制御 : 管理 者 承認 モー ド で すべ て の 管理 者 を 実行 する 


この 設定 は 、UAC を 有効 に する か 、 無効 に する か を 効果 的 に 制御 し ます 。 デフ ォ ル ト は 「 有 効 」 で す 。 この オプ ショ 
ン を 「 無 効 」 に 変更 する と 、UAC が オフ に な り 、 シス テム の 再起 動 が 必要 に な り ま す 。 


6.2 ユー ザ ア カ ウ ント 制御 : ビル トイ ン Administrator アカ ウン ト の た め の 管 理 者 承認 モー ド 


の 設定 は 、 ビ ルト イン Administrator ユー ザ ( ean ユー ザ が Administrators グル ループ の メン バー で 
ある か どう か に 関係 な く 、 他 の ユー ザ ア カ ウ ント に は 一 切 影響 し ませ ん 。 


dein は 「 無 効 」 で す 。 すなわち 、 ビ ルト イン Administrator ユー ザ が アプ リケーション を 起動 する 場合 、 管理 者 
承認 モー ド は 必要 な く 、 自動 的 に 承認 が 付与 され ます 。 


7T. UAC の 設定 - 代替 イン タフ ェ ー ス 


代替 イン タフ ェ ー ス に は 4 つの 異な る 通知 タイ プ が あり 、 シン プル な スラ イダ コン トロ ー ル を 使用 し て 選択 で きま す 。 
この イン タフ ェ ー ス は 、 Windows 2008 と 2012 を 含め 、 Windows Vista 以降 の Windows バー ジョ ン で サポ ー ト され 
て WV ます 、 


この イン タフ ェ ー ス に アク セス する に は 、「Control Panel]! System and Security | ^| Action Center | ^! Change 
User Account Control settings | (下記 の 例 を 参照 ) を 選択 し ます 。 スラ イダ コン トロ ー ル を 「Never notify」 に 設定 する 
E, UAC が 無効 に な り ま す 。 設定 を 適用 する に は 、 シス テム を 再起 動 す る 必要 が あり ます 。 


Control Panel Home 


E User Account Control Settings. s ss 


Change Action Center settings 


Choose when to be notified about changes to your computer 


fij Change User Account Control 
settings 


View archived messages Tell me more about User Account Control settings 
View performance information 


Always notify 


Default - Notify me only when programs try to make 
changes to my computer 


e Don't notify me when I make changes to Windows 
settings 


o Recommended if you use familiar programs and visit 
ー familiar websites. 


Never notify 


See also 
Backup and Restore 
Windows Update 


Windows Program 
Compatibility Troubleshooter 
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Windows 2016 以降 で は 、UAC を 無効 に する に は 、!User Accounts] Turn User Account Control On or Off」 を 
選択 し 、「Use User Account Control (UAC) to help protect your computer」 オ プシ ョ ン を オフ に し ます (チェ ッ ク マ ー 
ク を 外し ます )。 「OK」 を クリ ッ ク し て 変更 内 容 を 保存 し ます 。 


(<) ド v User &ccounts v Turn User Account Control On or Off 
File Edit View Tools Help 


Turn on User Account Control (UAC) to make your computer more secure 


User Account Control (UAC) can help prevent unauthorized changes to your computer. We recommend that 
you leave UAC turned on to help protect your computer. 


| Use User Account Control (UAC) to help protect your computer 


Cancel | 


8. ADMIN$ 共有 へ て の アク セス 


Qualys スキ ャ ン で ADMIN$ 共有 へ の アク セス が 必要 な 理由 は いく つか あり ます 。 この 項 で は 、 そ の 一 部 に つい て 
説明 し ます 。 


8.1 リモ ー ト レジ スト リサ ービス 


リモ ー ト レジ スト リサ ービス は 、 Windows Vista 以降 で は デフ ォ ル ト で 無効 に な っ て いま す 。 リモ ー ト レジ スト リサ ー ビ 
ス は 、 シス テム レジ スト リ へ の リモ ー ト アク セス を サポ ー ト する API を 提供 し ます 。 この API は 、 ADMINS 共有 へ の 
アク セス を 必要 と せ ず 、SMB/TCP 経由 の RPC と IPC$ 共有 <- へ へ の アク セス を 使用 し て アク セス され ます 。 


Windows シス テム の Qualys スキ ャ ン で は 、 レ ジス トリ API へ の アク セス が 必要 で す 。 レジ スト リ API に は 、 次 の い 
TO ET CE 
リモ ー ト レジ スト リサ ービス を 有効 に し ます 。 この 操作 は 、 ユ ー ザ の Windows コン ピュ ー タ に 設定 され た 怒 
存 の セキ ュ リ ティ ポリ シー と 競合 する 場合 が あり ます 。 
ー リモ ー ト レジ スト リサ ービス を 無効 の まま に し て 、 Dissolyable Agent を 有効 に する と 、 レ ジス トリ API に アク セ 
ス で きま す 。 Dissolvable Agent の イン スト ー ル お よび 削除 に は 、ADMIN$ 共有 へ の アク セス が 必要 で す 。 


8.2 Windows ファ イア ウォ ー ル 


Windows ファ イア ウォ ー ル の 設定 は 、ADMIN$ 共有 < へ へ の アク セス に 影響 し 、 フ ァ イ ア ウォ ー ル ルー ル は 、 
ADMINS へ の アク セス を 管理 する UAC ポリ シー が 評価 され る 前 に 有効 に な り ま す 。 


Windows ネッ トワ ー ク 共有 へ の アク セス に は 、 ネッ トワ ー ク トラ ンス ポー ト (NetBIOS, SMB な ど ) が 必要 で す 。 
Windows ネッ トワ ー ク 共有 < へ の アク セス に 一 般 的 に 使用 され る トラ ンス ポー ト は 、 SMB over TCP で す 。 SMB Zub 
コル は CIFS と も 呼ば れ ま す 。 


Windows ファ イア ウォ ー ル は 、 Windows Vista 以降 で は デフ ォ ル ト で 有効 に な っ て いま す 。 TCP ボー ト 445 へ の ア 
クセ ス は 、 デ フォ ルト で ブロ ッ ク さ れ て いま す 。 


ADMINS$ 共有 に アク セス する に は 、 フ ファイアウォール の ルー ル で 、 Qualys スキ ャ ナ の IP アド レス か ら TCP ポー ト 


445 へ の アク セス を 許可 する 必要 が あり ます 。 新しい ルー ル を 作成 する か 、 デ フォル ト で 無効 に な っ て いる 既存 の 
ノレ ー ル を 変更 し ます 。 


Qualys 認証 スキ ャ ン 6 


9. リモ ー ト UAC 


ADMINS 共有 へ の アデ ク セス は 、UAC ボリ シー の リモ ー ト UAC 部 分 で 制御 され ます 。 た だ し 、 ロ ー カ ルポ ボ ポリシー エ 
ディ タ は 、 リ モー ト UAC を 制御 する 設定 を 定義 し ませ ん 。 デフ ォ ル ト で は 、 ADMINS 共有 べ へ の リモ ー ト アク セス は 
無効 に な っ て いま す 。 


リモ ー ト UAC の 設定 を 変更 し て ADMINS 共有 べ へ の アク セス を 有効 に し て も 、UAC ポリ シー で 定義 され た 管理 者 
承認 モー ド の 設定 に は 影響 が あり ませ ん 。 これ に より 、UAC は 有効 な まま 、 対話 ユー ザ 向 け に 設計 され た と お り に 
機能 し 、ADMIN$ 共有 < べ へ の リモ ー ト アク セス が 有効 に な り ま す 。 

ADMINS 共有 へ の アク セス を 有効 に する 設定 は 、 シス テム レジ スト リ で 直接 定義 する 必要 が あり ます 。 


な お 、 リ モー ト UAC を 有効 に する と 、 ADMINS 共有 へ べ へ の アク セス が 許可 され る だ け で な く 、「Computer 
Management | ^ | Action] — | Connect to another computer | を 選択 する こと で 、 別 の Windows コン ピュ ー タ か ら リ 
モー ド で Wimdeows シス テム を 管理 で きる よう に な り ま す 。 


Tep UAC ボ ポポ メー に つい に いて 以下 で 提示 する 変更 は 、 デ ンズ オルド で ADMIN$ に アク セス で きる ドメイン アカ ッ ウン 
ト に は 影響 し ませ ん 。 すなわち 、 リ モー ト UAC ポリ シー は 、 Administrators グル ー プ の メン バー で ある ロー カル ユー 
ザ ア カ ウ ント に の み 影 響 し ます 。 


使用 例 


we は 、 s sque Pi Administrators グル ー プ の メン バー で ある ロー カル ユー ザ ア カ ウ ント 
で 認証 を 行う た め に 、 ユー ザ が リモ ー ト UAC ポリ シー を 変更 する 必要 が あり ます 。 


1) ドメイン メン バー シッ プ を 持た な い ス タン ドア ロン の Windows シス テム (GPO は 、 使 用 する ドメイン が な いた め 、 こ 
こ で は 機能 し ませ ん 。 他 の 何ら か の 自動 処理 に より 、 レジ スト リ の 変更 を 行う 必要 が あり ます 。 例え ば 、REG コマ ンド 
を 呼び 出す バッ チ フ ァイル を 使用 し ます (下記 参照 ) )。 


2) ロー カル アカ ウン ト で スキ ャ ン を 実行 する ドメイン 参加 の Windows シス テム (GPO を 使用 し て レジ スト リ を 変更 で 
きま 


設定 手順 

1)「 管 理 者 と し て 実行 」 モ ー ド で レジ スト リエ ディ ター (regedit.exe) を 起動 し 、 必要 で あれ ば 管理 者 承認 を 付与 し ま 
des 

2) HKEY LOCAL MACHINE ハイ ブ に 移動 し ます 。 


3) SOFTWAREMicrosoft Windows CurrentVersion Policies System キー を 開き ます 。 


4) 次 の プロ パテ ィ を 指定 し て 新しい DWORD (32 ビッ ト ) 値 を 作成 し ます 。 
名 前 : LocalAccountTokenFilterPolicy 
値 : 1 


5) レジ スト リ エディ ター を 閉じ ます 。 


警告 : DWORD (32 ビッ ト ) と QWORD (64 ビッ ト ) の デー タタ イプ の 値 は 、64 ビッ トバ ー ジ ョ ン の Windows で は メ 
ニュ ー で 隣り 合わ せ | に 位置 し て いま す 。 その た め 、 間違っ た デー タタ イプ を 選択 する ミス が 発生 し や すく な っ て いま 
d. デー タタ イプ は 、DWORD(32 ビッ ト ) で ある こと が 必要 で す 。 QWORD(64 ビッ ト ) を 選択 し て 、 値 を 1 に 設定 し 
て も 、 リ モー ト UAC は 有効 に な り ま せん 。 
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シス テム の 再起 動 ま た は サー バサー ビス の 再 始 動 の 要請 に は 疑問 の 余地 が あり ます 。 一 部 の ドキ ュ メ ント で 推奨 さ 
れ て いる の に も か か わら ず 、 レ ジス トリ で リモ ー ト UAC を 無効 に する と 、 こ れ は すぐ に 反映 され て 、 Qualys の スキ ャ 
ン 中 に ADMIN$ へ の リモ ー ト アク セス が 許可 さ れ ま す 。 


も う 1 つの 方 法 


リモ ー ト UAC を 有効 に する に は 、 (昇格 権限 の プロ ンプ ト を 使用 し て ) レジ スト リエ ント リコ マン ド を 使用 し 、 レジ スト リ 
エン トリ を 削除 する こと も で きま す 。 


cmd /c reg add HKLMNSOFTWARENMMicrosoftNWindowsNCurrentVersionNMPoliciesNsystem 
/v LocalAccountTokenFilterPolicy /t REG DWORD /d 1 /f 


リモ ー ト UAC を 無効 に する 方 法 
以下 の 方 法 を 使用 し て 、 リ モー ト UAC を 無効 に で きま す 。 
1) (昇格 権限 の プロ ンプ ト を 使用 し て ) レジ スト リ 編 集 コ マン ド を 使用 し ます 。 


cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system 
/v LocalAccountTokenFilterPolicy /t REG DWORD /d O /f 


2) アカ ウン ト 制 御 の 設定 を 使用 し ます 。 


| Control Panel] っ 1System and Security | ^! Change User Account Control settings | を 開き ます 。 また は 、 次 の 実行 
ファ イル を 実行 し ます (「Start」 つ 「Run」、 ま た は コマ ンド プロ ンプ ト を 使用 し ます )。 


C:NWindowsNSystem32NUserAccountControlSettings.exe 


次 に 、 Windows バー ジョ ン に 応じ て 、 ス ライ ダ を 動か し て INever Notify | C8 xE 4 52», | Use User Account 
Control (UAC) to help protect your computer」 オ プシ ョ ン を オフ に し ます (チェック マー ク を 外し ます ) 。 「OK」 を クリ ッ 
ク し 、 指示 に 従っ て 管理 者 パス ワー ド を 入力 し ます 。 


10. ADMIN$ 共有 へ の ユー ザ ア ク セス 


UAC は 、ADMIN$ 共有 < べ へ の アク セス を 制御 し ます 。 この パー ミッ ショ ン は 、 ユー ザ タ イプ に よっ て 異な り ま す 。 ド メ イ 
ン 資 格 情報 また は ロー カル 資格 情報 を 使用 し て 、 Windows シス テム に アク セス で きま す 。 この 項 で は 、 さま ざま な 
ユー ザ が ADMIN$ 共有 に リモ ー ト で アク セス する 際 の 動作 に つい て 説明 し ます 。 


10.1 ドメイン ユー ザ 


ロー カル Administrators グル ー プ の メン バー で ある ドメイン ユー ザ に は 、 デ フォ ルト で ADMINS 共有 < へ の アク セス 
が 付与 され ます 。 


Qualys スキ ャ ン が Windows ドメイン 資格 情報 を 使用 し 、 (通常 は Domain Admins グレ ー プ な どの グル ー プ に 含ま 


れる こと に より ) ユー ザ が Administrators グル ー プ の メン バー で も ある 場合 、UAC ポリ シー を 変更 する こと な く 、 
ADMIN$ 共有 に アク セス で きま す 。 
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10.2 ロー カル ユー ザ 


UAC ポリ シー の 設定 で は 、 以 下 の ユ ー ザ タイ プ が 区 別 さ れ ま す 。 
ー ビル トイ ン Administrator 
— Administrators (Administrators グル アープ の メン バー) 
ー 標準 ロー カル ユー ザ 


ADMIN$ 共有 に アク セス する た め の パ ー ミ ッ シ ョ ン の 制御 は 、 ユ ー ザ タイ プ ご と に 異な り ま す 。 


10.2.1 ビル トイ ン Administrator 


ビル トイ ン Administrator ユー ザ は 、 デ フォ ルト で ADMIN$ 共有 に アデ ク セス で きま す 。 これ は 、6.2 項 で 説明 し た 
UAC ポリ シー の 設定 で 制御 され ます 。 

新しい コン ピュ ー タ に Windows Vista 以降 パイ ンス トー ル さ れる と 、 ビル トイ ン Administrator アカ ウン ト は 無効 に 

り ま す 。 イン スト ー ル 中 に 新しい ユー ザ が 作成 され 、 Administrators グレ ルレ ループ に 自動 的 に 追加 され ます 。 SSM 
ザ は 、 後 に 管理 者 承認 モー ド に 切り 替え る こと で 、 他 の ユー ザ を 追加 し 、 シス テム ょ 管理 の 管理 タス ク の 優先 順位 を 
昇格 させ る こと が で きま す 。 


ビル トイ ン Administrator ユー ザ は デフ ォ ル ト で 無効 に な っ て いる た め 、 使用 する た め に は 、 ア カウ ント を 有効 に 
パス ワー ド を 設定 する 必要 が あり ます 。 ビル トイ ン Administrator アカ ウン ト を 使用 する ied スキ ャ ン は 、 に JR 
ト の UAC ポリ シー を 変更 する こと な く 、 ADMINS 共有 に アク セス で きま す 。 


10.2.2 Administrators(Administrators グル ー プ の メン バー) 
Administrators グル レ ループ の メン バー は 、 リ モー ト UAC が 有効 (8 項 を 参照 ) に な っ て いる 場合 、 ま た は UAC ポリ 
ジー が 完全 に 無効 に な っ て いる 場合 に 、 ADMIN$ 共有 に アク セス で きま す 。 


ADMINS 共有 adi Pablo idum は 、 既存 の UAC ポリ シー を 維持 し た まま で リモ ー ト UAC を 有効 に する 
方 が 、UAC ポリ シー を 完全 に 無効 に - に する より も 安全 性 が 高まり ます 。 


10.2.3 標準 ユー ザ 
標準 ユー ザ は 、 デ フォ ルト で ADMINS 共有 に アデ クセ ス で きま す が 、 付与 され る アク セス 権 は 読み 取り 専用 モー ド で 
ある た め 、 Dissolvable Agent の イン スト ー ル や 削除 は で きま せん 。 


この パー ミッ ショ ン は UAC ポリ シー に 依存 し ませ ん 。 Windows オペ レー ティ ング シス テム の イン スト ー ル 時 に 
ADMIN$ と し て 共有 され る Windows イン スト ー ル ディ レク トリ に 設定 され る NTFS パー ミッ ショ ン に よっ て 制御 され 
ます 。 
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